Darim Rahmatallah | シニア プロダクト マネージャー | タレス
More About This Author >
Darim Rahmatallah | シニア プロダクト マネージャー | タレス
More About This Author >
このブログ記事では、サイバーレジリエンス法(CRA)とは何か、対象者、欧州でデジタル製品を販売する企業に対する影響について、かみ砕いて説明します。そして、CRAで概説されている必須のサイバーセキュリティ要件を遵守する方法を解説します。本ブログを通して、開発サイクルの各段階で実行すべきアクションを明確に理解でき、初期段階からコンプライアンスを念頭に置いた製品構築が可能となります。タレスが規制遵守にどのようにサポートできるかがお分かりいただけます。
EUサイバーレジリエンス法(CRA)とは?
サイバーレジリエンス法(CRA)は、デジタル製品に必須のサイバーセキュリティ基準を確立しているEUの法規制です。インフラストラクチャに焦点を当てた既存のネットワークセキュリティ指令とは異なり、CRAの要件ではソフトウェア製品自体のセキュリティ確保が重視されています。
EUサイバーレジリエンス法の目的とは?
CRAの目的はEU圏全体のサイバーセキュリティを強化することと、一般消費者の安全を守ることです。
これまで欧州で販売されているソフトウェア製品では、サイバーセキュリティに対する説明責任が不十分であったため、サイバーセキュリティ基準の遵守がEU市場での販売の前提条件になりました。つまり、製品の安全・安心を設計によって実現する「セキュア・バイ・デザイン」を導入する必要があるのです。サービスプロバイダーは、サイバーセキュリティのリスクをユーザーに明確に伝え、脆弱性が発見された場合の修正に関して計画しておかなければなりません。
CRAの適用対象者とは?
サイバーレジリエンス法は、デジタルコンポーネントを構成要素に含む製品をEU市場で販売するすべての人に適用され、製品の製造者や開発者に加え、EU市場で製品を販売する再販業者やディストリビューターも含まれます。
CRAに準拠する必要がある製品とは?
CRA規制の対象は、デジタルコンポーネントを含むハードウェアと純粋なソフトウェア製品の双方で、製品の接続状態に関係なく、CRA要件を満たしている必要があります。つまり、販売するソフトウェアがインターネットに接続することがなくても、CRAに準拠しなければなりません。一方、CRAは純粋なSaaS(Software-as-a-Service)製品には適用されません。完全にサービスとして販売される、物理的要素のないアプリを開発した場合は、CRAは適用されません。
CRAの対象となる製品の例
デジタルコンポーネントを備えたハードウェア:
- 産業/製造業のIoT
- スマートデバイス
- ストレージメディア
- ネットワークコントローラー
- デジタル機能を搭載したその他の物理的製品
ソフトウェア:
- オペレーティングシステム
- オンプレミス型ソフトウェアとデスクトップアプリケーション
- リモートデータ処理ソリューション
- モバイルアプリケーション
- ビデオゲーム
CRAの対象外の製品の例
- SaaS(Software-as-a-Service):
CRAは製品に対する規制であり、純粋なサービス提供は対象外です。 - 未完成のソフトウェア:
アルファ版やベータ版はCRAに準拠する必要はありません。 - 収益化されていないオープンソースソフトウェア:
オープンソースソフトウェアは、製造者や開発者によって収益化された場合にのみ適用されます。 - 他の規制の対象となる業界:
すでに成熟した業界固有の規制が存在する自動車、医療、防衛などの一部の分野は、CRAの対象外です。
CRAは、現在規制されていないデジタル領域全体のセキュリティを強化することを目的としています。特定の製品にCRA認証が必要かどうかは、適用性の評価により判断されます。
CRA違反の罰則
CRAへの違反による影響は深刻であり、事業の存続を危うくすることもあります。市場監視当局は罰則を執行する権限を持つため、CRA遵守は業務において必須です。
非準拠とみなされた製品に対する罰則:
- EU市場全体での販売制限
- 製品の深刻なイメージダウンにつながり得る警告
- 欧州市場からの製品リコール
- 500万~1500万ユーロまたは全世界での年間売上高の1~2.5%の罰金
開発段階ごとの主要なメーパーおよびソフトウェア開発者の義務
欧州での製品販売を計画している場合、サイバーレジリエンス法(CRA)に準拠している必要があります。つまり、サイバーセキュリティを製品の計画、構築、配布、サポートのプロセスに組み込むことが必須となるのです。
以下は、CRAで定められている必須サイバーセキュリティ要件の内訳と、各要件への準拠が求められる段階の概要です。
ソフトウェア開発のライフサイクル
リスクベース設計
要件:特定されたリスクに対処するために、開発全体を通じて最新のセキュリティ対策とベストプラクティスを実施すること。
アクション:サイバーセキュリティを考慮して設計する必要があります。ベストプラクティスと最先端のセキュリティツールを開発に統合してください。
安全なコンフィグレーション
要件:デフォルトで安全な設定で製品を提供し、必要に応じてユーザーが安全な状態にリセットできるようにすること。
アクション:デフォルト設定の安全性を確保し、改ざんや不正な変更から保護された状態に保ちます。
エクスプロイト(脆弱性)対策
要件:既知の脆弱性を排除し、攻撃対象領域を制限して、セキュリティインシデントのリスクと影響を軽減すること。
アクション:攻撃を報告し、対策手順を説明してください。暗号化、難読化、安全なコーディングにより攻撃対象領域を縮小しましょう。
セキュリティの迅速な更新
要件:必要に応じオプトアウトオプションを使用して、自動更新またはユーザー通知による更新を通じて脆弱性に対処すること。
アクション:リスクのあるユーザーを特定し、迅速かつ明確にアップデートを提供・通知しましょう。
アクセス制御
要件:認証、ID管理システム、アクセスログ、侵害報告を使用して、不正アクセスを防止すること。
アクション:最大限のセキュリティを実現するために、強力な認証とライセンスベースのユーザーアクセス制御を使用してください。
データの最小化とセキュリティ
要件:必要なデータのみを処理し、暗号化と安全なメカニズムで機密性、完全性、可用性を保護すること。
アクション:必要なデータのみを収集し、転送中および保存中のセキュリティを確保してください。
完全性と監視
要件:データの完全性を保護し、内部アクティビティを監視すること。また、必要に応じてユーザーが監視をオプトアウトできるようにすること。
アクション:データの窃取や改ざんを監視しましょう。監視の対象はユーザーの行動ではなく、システムの完全性に制限してください。
可用性とレジリエンス
要件:インシデント後も重要な機能が動作し続けるようにし、DoS(サービス拒否)攻撃などのリスクを軽減すること。
アクション:安全なコーディングと侵入防止を適用し、暗号化と難読化を使用してください。
データの消去と移行
要件:データ消去のための安全なオプションと、製品またはシステム間でデータを移行する機能を提供すること。
アクション:消去された情報を回復する機能のない、データの完全消去ができるようにしてください。
CRAの準拠にタレスがどう役立つか?
タレスはサイバーセキュリティの世界的リーダーであり、組織とエンドユーザーの双方に使用する製品の安全性に対する信頼を提供しています。
当社のソリューションは、ハッキング、リバースエンジニアリング、侵入、悪意のある攻撃から製品を保護することで、分散型コンポーネントや複雑なテクノロジー環境全体のセキュリティ管理をサポートします。同時に、すべてのタレス製品は、正規のユーザーがシンプルかつシームレスにアクセスできるように設計されています。詳細については、当社の営業担当にお問い合わせください。
免責事項:本記事に記載されている情報は、2025年夏時点のものです。本記事の執筆時点では、サイバーレジリエンス法(CRA)は審議が続いており、変更される可能性があります。そのため、最新の法的情報や公式情報源を参照して、最新の情報を確認することをお勧めします。